🗣 Киберугрозы в РФ: уроки и выводы из инцидентов за год

Критические инциденты и вторжения в российские организации, с которыми столкнулись специалисты Kaspersky Security Services в 2025 году, демонстрируют растущую квалификацию атакующих. Злоумышленники используют длинные цепочки техник, атакуют субподрядчиков жертвы и всё чаще действуют вручную, что усложняет обнаружение угроз и реагирование на них.

Мы собрали уроки 2025 года в подробный отчёт, который позволяет детально разобраться, кто атакует компании, какие методы используются и как выявлять эти угрозы до того, как они приведут к серьёзному инциденту.

Уже послезавтра, 16 апреля, вы можете узнать ключевые выводы этого отчёта и задать вопросы авторам!

Сергей Солдатов, руководитель центра мониторинга кибербезопасности, и Константин Сапронов, руководитель отдела оперативного решения компьютерных инцидентов, расскажут:

▶️какие атаки представляли наибольшую опасность для бизнеса;
▶️какие TTPs хакеры стали использовать чаще;
▶️как выстраивать процессы обнаружения и реагирования;
▶️какие меры действительно помогают повысить киберустойчивость.

Встречаемся в четверг: 16 апреля 2026 в 11:00 (МСК).
Нужна предварительная регистрация.

Все участники получат полную версию отчёта!

Зарезервировать место на вебинаре ⟶

#события @П2Т

💻 Апрельский вторник патчей: цунами обновлений Windows

Microsoft выпустила один из крупнейших пакетов обновлений в своей истории, закрыв 163 уязвимости в своих продуктах. Если посчитать ещё и большой пакет устранённых дефектов в стороннем софте, например, в Chromium, то апрельский счёт патчей приближается к шокирующей отметке 250. С учётом успехов ИИ в поиске уязвимостей, к таким цифрам теперь видимо придётся привыкать.

Одна уязвимость эксплуатировалась до раскрытия, одна была досрочно разглашена, ещё 8 относятся к критическим. Абсолютное большинство багов (131) устранены в Windows, далее следует Office с дюжиной ошибок.
93 уязвимости приводят к повышению привилегий, 20 — к исполнению произвольного кода, 20 — утечкам информации, 12 — к обходу функций безопасности, 9 — DoS, 8 — spoofing.

Уязвимости нулевого дня
В живой природе выловили CVE-2026-32201 (CVSS 6.5) в SharePoint, которая приводит как раз к спуфингу. Редмонд исключительно лаконичен в описании уязвимости, отмечая только что атакующие могут получить доступ информации или изменить её. Где эксплуатировалась, кто её нашёл — ни слова.

Примечательна также CVE-2026-33825 (CVSS 7.8), приводящая к повышению привилегий через Defender. Её разгласили до устранения, потому что исследователь и Microsoft не смогли договориться о порядке разглашения и важности дефекта. Учитывая наличие PoC на GitHub, пользователям Defender стоит поторопиться с обновлениями.

Критические дефекты

В обновлении есть две неприятных уязвимости, работающие по сети и не требующие действий жертвы.
CVE-2026-33827 — это RCE в TCP/IP (должны быть активны IPv6 и IPSec), а CVE-2026-33824 — RCE в службе Windows Internet Key Exchange (IKE). Первая потянула на CVSS 8.1, а вторая аж на 9.8.

Не обошлось и без RCE в Office (CVE-2026-32190 -33114 -33115, все CVSS 8.4), работающих в том числе из панели предварительного просмотра. Снова умоляем её уже отключить наконец.

#новости #Microsoft @П2Т

🤝 Когда продукты работают вместе: MDR 3.0

Обновили решение Managed Detection and Response до версии 3.0. В этом релизе мы сфокусировались на трёх ключевых направлениях: более тесной интеграции продуктов, расширении покрытия MDR и улучшении пользовательского опыта. Это означает меньше ручных действий, быстрее передачу данных и более слаженное взаимодействие инструментов и команд.

В результате MDR объединяет процессы обнаружения, анализа и реагирования в единый поток и сокращает время от выявления угрозы до её устранения. На практике это означает:
🟣сквозной сценарий EDR - MDR: передача инцидентов в один клик и ускоренная эскалация;
🟣автоматическая передача файлов аналитикам MDR из Kaspersky Anti Targeted Attack 8.0 и Kaspersky EDR Expert 8.0;
🟣передача инцидентов в команду Kaspersky Incident Response для оперативного подключения экспертов;
🟣более детализированная телеметрия из Kaspersky Endpoint Security for Linux для контейнерных сред;
🟣 экспорт инцидентов в SIEM KUMA 4.0 для дополнительного анализа.

Также улучшили пользовательский опыт:
🔵расширенные уведомления в Telegram с более подробной информацией об инцидентах;
🔵оптимизация MDR-портала для смартфонов и планшетов - доступ к инцидентам в любое время.

Дополнительно расширено покрытие MDR: платформа теперь поддерживает встраиваемые системы за счёт интеграции с Kaspersky Embedded Systems Security 4.0.

В итоге MDR становится связующим звеном между продуктами и командами, снижая фрагментацию инструментов и ускоряя полный цикл обработки инцидентов.

▶️Подробнее об обновлениях
▶️Запланировать пилот

#MDR #события @П2Т

🔥 Четвёртые сутки вторую неделю пылают споры про Mythos

Насколько мощная эта модель на самом деле, можно ли делать тоже самое с опенсорсной квантизированной Llama, когда поломают банковские мейнфреймы IBM, а главное, что делать посреди этого цирка CISO организации, не относящейся к Fortune 500?

Не претендуя на полный обзор темы, соберём несколько полезных мыслей, практических рекомендаций и неочевидных нюансов.

1️⃣Появление продвинутых ИИ-моделей, ищущих уязвимости, уже сейчас (до Mythos) значительно увеличило количество находимых дефектов и патчей. Mythos и его последователи лишь ускорят и масштабируют этот процесс. Это главное, к чему нужно подготовиться организациям — увеличение количества, сложности и частоты обновлений всего ПО и инфраструктуры. На патч-менеджмент и управление уязвимостями придётся выделять дополнительные ресурсы и делать их приоритетом ближайших лет. И конечно приоритизация уязвимостей начинает играть новыми красками.

2️⃣При этом с помощью ИИ можно ковыряться в коде, на который у топовых живых экспертов просто не хватало времени: прошивках экзотического оборудования, проприетарных протоколах, глубоко устаревшем коде ПО. Если раньше в банковских мейнфреймах разбиралось сто человек в мире и находили одну уязвимость в десятилетие, то теперь картина может измениться. Поэтому болезненные обновления, полную изоляцию или списание этого оборудования тоже придётся вытащить из бэклога и начинать принимать меры. Или начать переписывать риск-модели и повышать оценку вероятности простоев.

3️⃣Значительно сгладить асимметрию атаки и защиты могло бы внедрение автономного агентского ИИ в процессы управления уязвимостями и обновлениями. Но хороший ИИ, который ходит ругаться к главному технологу за окно обновления ПО, ещё предстоит создать.

4️⃣Ещё одна скучная, но актуальная вещь касается атак, в которых ИИ-модель класса Mythos непосредственно продвигается по сети жертвы. В текущих тестах и полигонах атакам ИИ не оказывают противодействия, поэтому весьма вероятно, что модель проводит атаки шумно, вызывает срабатывание многочисленных СЗИ, и останавливается теми же инструментами, которые эффективны против атак LotL. Поэтому инвестиции в знакомые меры защиты — от 2FA и принципа наименьших привилегий до allowlisting и XDR — сильно повышают устойчивость организации в том числе к ИИ-атакам.

Про эти скучные меры хорошо расписано в экстренном обзоре Cloud Security Alliance The “Ai Vulnerability Storm”: Building a Mythos-ready” Security Program. (pdf)

5️⃣Возможности модели известны мало кому, но понятно, что они решающим образом зависят от бюджета. На сложных задачах значительный отрыв Mythos от предшественников виден только при огромных затратах на токены (бюджет 100 млн токенов). Это доказывает способности модели, но ограничивает масштаб её применения.

6️⃣Mythos вероятно является шагом вперёд в качестве поиска уязвимостей, но не революцией. Значительные успехи в ИИ-поиске уязвимостей уже продемонстрировали XBOW, Aisle и другие компании. Поиск уязвимостей при помощи ИИ зависит не только и не столько от качества модели, а от организации всего процесса: широкое сканирование кода в поисках интересных мест, глубокий анализ потенциальных уязвимостей, оценка критичности и возможности проэксплуатировать, построение и применение корректного патча. Далеко не все этапы требуют мощного ИИ, кое-где его роль вообще минимальна.

#советы @П2Т

Интересные исследования APT и новости ИБ за неделю

📌 Руководство по детектированию AdaptixC2 — фреймворка постэксплуатации, имеющего открытый исходный код и встречающегося и в операциях вымогателей, и у APT. Фреймворк поддерживает несколько каналов связи, включая TCP/mTLS, SMB, DNS, и DoH, для эффективного обнаружения необходимо сочетать телеметрию сети и конечных точек.

🟢Агрессивное рекламное ПО (adware) от Dragon Boss Solutions содержит скрытую нагрузку на PowerShell, которая отключает антивирусную защиту. По данным исследователей, заражено около 23 тыс. систем в 124 странах, в том числе 41 OT‑сеть.

🟣Статистика киберугроз в промышленности за 4‑й квартал 2025: ВПО была заблокирована на 19,7% ICS‑хостов по миру. Главным инцидентом квартала стал червь Backdoor.MSIL.XWorm, обнаруженный во многих странах и распространявшийся через фишинговые письма под видом резюме соискателей. Зловред обеспечивает удалённое управление компьютером.

🔵LLM-шлюзы не просто могут проводить атаки MitM, а уже это делают. Исследователи обнаружили 28 вредоносных API-прокси для доступа к LLM, которые перехватывают и модифицируют трафик между корпоративными системами и ИИ‑провайдерами.

🔵Анализ банковского зловреда JanelaRAT, атакующего пользователей Windows в Бразилии и Мексике. В числе прочего он отслеживает периоды бездействия пользователя, чтобы точно рассчитать время мошеннических транзакций и обхода MFA.

🔵Разбор TTPs вымогательской группировки Payouts King, которая использует виртуалки QEMU для маскировки вредоносных файлов. Первичный доступ обеспечивается через уязвимости SonicWall, Citrix NetScaler и SolarWinds Web Help.

🟣Технический анализ кампании APT37, нацеленной на частных лиц, интересующихся оборонной тематикой. Приманки были замаскированы под военную документацию, требующую «особую программу просмотра PDF» и распространялись через личные сообщения в мессенджерах и соцсетях.

🟢Разбор кампании Stardrop — злоумышленники опубликовали более 200 вредоносных npm‑пакетов под видом ИИ‑инструментов для разработчиков. В реальности ПО конечно крадёт API-ключи и другие секреты. Такими темпами open source в его текущем виде скоро умрёт, качать что-либо новое из публичных репозиториев становится боязно.

🟠Технический анализ загрузчика JitterDropper, написанного на Rust. В известных кампаниях это ВПО в дальнейшем устанавливает жертвам Vidar Stealer.

🟣В Chrome Web store обнаружены ещё 108 вредоносных расширений Chrome с общей инфраструктурой C2 и 20000 установок. Они маскируются под клиенты Telegram и различные утилиты, но на деле воруют токены Google OAuth2‑токены и сессии Telegram Web. Также ВПО может открывать произвольные URL при старте браузера.

#дайджест #APT @П2Т

🔎 Иллюзия безопасности Wi-Fi

Популярная функция изоляции клиентов на уровне точки доступа Wi-Fi — это «типичная защита от честных людей». Разделение на сеть для гостей и сотрудников, если оно не реализовано строгими настройками VLAN и другими дополнительными мерами, скорее всего допускает атаку из гостевой сети на внутреннюю.

Авторы фундаментального исследования AirSnitch описали и протестировали несколько разных атак, которые эксплуатируют тот факт, что изоляция клиентов никак не стандартизована в Wi-Fi. Каждый производитель реализует её, ориентируясь на собственное чувство прекрасного. Поэтому в зависимости от модели точки доступа возможны различные чудеса — от создания фальшивого сервера RADIUS и перехвата учётных данных до полноценного MitM.

Примечательно, что авторы протестировали много роутеров и точек доступа, включая бытовые и корпоративные. Хотя бы одной разновидности атаки подвержен каждый, а чемпионами оказались D-Link DIR-3040 и LANCOM LX-6500, подверженные всем атакам сразу.

Ориентироваться на список роутеров из статьи не обязательно. Всерьёз озабоченные безопасностью администраторы сетей и службы ИБ должны самостоятельно протестировать свою конфигурацию, чтобы точно определить, какие из угроз актуальны для организации. Для этого код AirSnitch опубликован на GitHub.

В нашей статье кратко разобрана каждая атака и даны рекомендации по безопасной настройке Wi-Fi с оглядкой на выводы исследования.

#советы @П2Т

📌 Поддержка MCP в Windows: взгляд специалистов DFIR

Microsoft внедряет нативную поддержку MCP в Windows, и разработанная для этого модель безопасности довольно сложна. В перспективе это серьёзно повлияет на расследование инцидентов со злоупотреблением ИИ в Windows‑средах.

Архитектура контроля доступа «под капотом» новой системы MCP On-Device Registry (ODR) была восстановлена по сборке Insider Preview и оказалась полноценной брокерской системой. Каждый контакт между ИИ‑агентом и MCP‑сервером проверяется на одобрение пользователем и журналируется ещё до выполнения каких‑либо действий.

Когда агент пытается обратиться к MCP‑серверу, ODR идентифицирует клиента, проверяет его на соответствие политикам, проверяет базу согласий пользователя и, если явного одобрения там нет, запрашивает подтверждение у человека. CMD, PowerShell, Explorer и Winlogon жёстко заблокированы как MCP‑клиенты и не могут выступать в этой роли.

Ключевой момент для специалистов по реагированию — подробные журналы. Каждая попытка доступа генерирует ETW‑события с фиксацией identity клиента, целевого сервера и результата запроса. Решения по согласию сохраняются в защищённой базе SQLite. Три специализированных провайдера телеметрии (Windows-AI-MCP, Windows-AI-On-Device-Registry и Windows-AI-Agents) создают подробный след события: какой агент к чему обращался, от чьего имени, и что решил пользователь.

Если ИИ‑агент будет атакован (через промпт‑инъекцию, скомпрометированный MCP‑сервер или приложение, неправомерно расширяющее права агента), в Windows останутся все подробности. Знание, где эти артефакты находятся, и как их разбирать, вероятно станет стандартной компетенцией для расследований в Windows.

Полный технический разбор, включая недокументированные COM‑интерфейсы и схему БД.

#советы #ИИ #IR @П2Т

😞 Весомый повод пересмотреть программу управления уязвимостями

Источник данных, который долгие годы считался самым полным и авторитетным в этой области, стремительно теряет прикладную ценность. NIST объявил, что больше не будет обогащать каждую запись в National Vulnerability Database (NVD), которая, несмотря на свои недостатки, была ближе всего к статусу «источника истины» в сфере VM.

Теперь разбор и обогащение получат только три категории дефектов: активно эксплуатируемые уязвимости из списка CISA KEV, баги в ПО, используемом федеральными структурами США, и уязвимости в широко понимаемом «критически важном ПО» — операционные системы, браузеры, межсетевые экраны, и так далее (полный список категорий в PDF). Все остальные CVE (то есть подавляющее большинство) останутся скупыми карточками без метаданных, контекста и оценок критичности.

В результате скорее всего снизится качество многих продуктов управления уязвимостями. Львиная доля коммерческих сканеров и систем отчётности строилась вокруг обогащения данных NVD. Теперь этот фундамент стал более шатким. Покрытие NVD сокращается, EUVD только формируется, MITRE испытывает проблемы с финансированием, а национальные инициативы вроде CNVD, БДУ или JVN меньше по охвату, и зачастую в них сложно установить соответствие с CVE.

Производителям платформ управления уязвимостями (ой, извините, CTEM 😊) придётся сводить данные из гораздо более широкого пула источников и выстраивать сложные процессы перекрёстной проверки и обогащения. Пока новые потоки данных и методики не устоятся, нас, скорее всего, ждёт неравномерное покрытие разных типов ПО и ещё менее точная информация о дефектах.

Болезненным будет и новый подход к оценке критичности. NIST теперь будет по умолчанию отображать балл, изначально заданный организацией, которая заводит CVE. На практике это часто сам производитель, сообщающий о своей же уязвимости. Производители нередко преуменьшают серьёзность уязвимостей, и отловить такие случаи будет сложнее.

Тем, кто следил за проблемами NIST последние пару лет, объявление вряд ли показалось внезапным. Институт накопил порядочный долг необработанных CVE и в том же анонсе признал, что уже не разберёт эту свалку. Число новых CVE бьёт исторические рекорды, а применение ИИ в поиске уязвимостей приведёт к ещё более быстрому росту. NIST сознательно сужает фокус ровно в тот момент, когда объём работ становится неуправляемым.

Для организаций всё это означает одно: пора провести аудит своих поставщиков и платформ по управлению уязвимостями и убедиться, что они используют диверсифицированные источники данных и имеют многофакторную внутреннюю модель приоритизации уязвимостей. Компаниям нужно самостоятельно верифицировать критичность и приоритет с учётом конкретного бизнес‑контекста, а не полагаться на один внешний скоринг.

#VM #советы #CISO @П2Т

🗿 Снова зловреды в App Store, TikTok и ко тащат медицинские данные, и другие важные новости конфиденциальности и личной ИБ

🍏 Снова ВПО в App Store: мы обнаружили в магазине Apple семейство троянцев FakeWallet, маскирующихся под iOS-приложения MetaMask, Ledger, Trust Wallet, Coinbase и т.п. Сами приложения просто перенаправляют жертв на сайты, которые имитируют App Store и устанавливают уже настоящее ВПО при помощи корпоративных профилей (provisioning profile).

🐩 Вышел Firefox 150 с большим числом исправлений, офлайн‑переводом любых текстов (не только сайтов) и 270 закрытыми багами, выявленными при помощи нашумевшей модели Anthropic Mythos.

👀 Анализ рекламных пикселей TikTok и экстремистской Meta* на сайтах индустрий здравоохранения и розничной торговли показал, что они собирают существенно больше данных, чем нужно для атрибуции рекламы, включая (слегка) хэшированные e‑mail и номера телефонов. Исследователи фиксировали отправку личной информации до получения одобрения посетителя, передачу данных после нажатия «Reject All» и появление ПД прямо в URL в открытом виде.

📱 Постквантовая криптография появится в Android 17, в первую очередь для подписи загрузчиков, дистанционной аттестации и подписи приложений в Google Play.

🔄 Новости браузеров, которые вряд ли кого удивят: Chrome по‑прежнему предлагает минимальные средства защиты от сбора браузерных отпечатков (фингерпринтинга) по сравнению с Brave и Firefox.

😶‍🌫️ Google представила Advanced Flow — намеренно долгий и неприятный способ разблокировать загрузку APK от непроверенных разработчиков на сертифицированных Android‑устройствах. Эта радость ждёт нас в августе 2026. Чтобы загрузить APK без заботливого Google Play, нужно будет включить режим разработчика, подтвердить, что пользователя никто не заставляет и не торопит это делать, перезагрузить устройство и пройти аутентификацию, а затем подождать сутки до фактической установки.

⚫️ Импортозамещение по-американски: FCC включила все потребительские роутеры иностранного производства в специальный Covered List, заблокировав для новых моделей возможность пройти сертификацию. 🤦‍♂️
То есть легально продавать импортные бытовые роутеры (Asus и ко), не сходив за индивидуальным разрешением в FCC, в США больше нельзя.

🤡 Босс Reddit Стив Хаффман заявил, что платформа вскоре может потребовать подтверждение, что пользователь не является ботом. И это не галочка в поле ввода, а Face ID, Touch ID или ключ доступа. Всё это, якобы, чтобы бороться с ботами и ИИ-контентом.

😶 Жюри Верховного суда Лос‑Анджелеса признало экстремистскую Meta* и Google проявившими преступную небрежность за то, что компании не предупредили пользователей о рисках, связанных с «привязчивостью» Instagram и YouTube. Знаковое решение принято по иску 20‑летней девушки, страдавшей от навязчивого желания использовать эти платформы. В американских судах лежат тысячи подобных дел, решение суда такого уровня уже является прецедентным, поэтому будет весело.

🌚 Минимум два десятка ведущих новостных изданий блокируют бота Internet Archive (ia-archiverbot), чтобы их страницы не были сохранены в Wayback Machine. Издатели заявляют, что опасаются того, что ИИ‑компании начнут обходить блокировки на сайтах и воровать новостной контент из архивных копий. Опасение резонное, но кажется, лекарство тут хуже болезни. Кроме как в Wayback Machine, проводить историко-архивный поиск в современном интернете почти негде.

* Meta признана экстремистской и запрещенной в РФ
#новости #конфиденциальность @П2Т

🔥 Интересные исследования APT и новости ИБ за неделю

🪲 Разбор кампаний и имплантов группировки Geo Likho, с 2024 года атакующей организации в РФ и РБ и фокусирующейся на индустриях авиации и водного транспорта. Под каждую жертву создаются собственные вариации имплантов, а доставляют их через целевой фишинг.

🔵Устройства Cisco Firepower эксплуатируются в активных кампаниях UAT-4356 (Arcanedoor) с применением ВПО FIRESTARTER. Для захвата устройств применяются известные CVE-2025-20333 и -20362, а на ранее скомпрометированных железках злоумышленники закрепляются настолько хорошо, что жертвам однозначно рекомендуют перепрошивку устройства. Также был обновлён февральский бюллетень, посвященный трём уязвимостям в Cisco SD-WAN — к списку реально эксплуатируемых добавилась CVE-2026-20133, но подробности атаки неизвестны.

⚡️ Технический анализ загадочного и очень сложного ВПО Angry Spark, обнаруженного на единственном компьютере в Великобритании и вероятно разработанного с целью шпионажа. Впрочем, достоверно это неизвестно, поскольку компактный 25-килобайтный имплант, использующий шифрование, стеганографию, самоуничтожение по тайм-ауту, закрепление сертификатов TLS, обфускацию на базе виртуальной машины и все мыслимые антиотладочные трюки, в конечном счёте должен выполнять произвольный код, присланный с командного сервера, а исследователям сервер ничего не отдал.

🟢 Продолжаются опасные атаки на цепочку поставок — за неделю скомпроментированы Bitwarden CLI и Docker-образы Checkmarx KICS. Атаки в стиле TeamPCP и CanisterWorm множатся — также под раздачу попали пакеты pgserv.

🟣Разбор деструктивного ВПО LotusWiper, которое предположительно было применено в атаках на венесуэльские компании из сферы коммунальных услуг и энергетики. Судя по особенностям ПО, оно было собрано с учётом конкретной среды, в которой потребуется провести атаку с уничтожением данных.

🔵Разбор TTPs группировки UNC6692, атакующей организации через сложные социоинженерные кампании, направленные на сотрудников техподдержки. Целью является кража информации, но мотивация атакующих не описана.

🔴Технический анализ Linux-версии известного ВПО GoGra, используемого группировкой Harvester в шпионских атаках на цели в Индии и Афганистане.

🟣Анализ новых образцов ValleyRAT/Winos/PoisonMouse, применяемых в атаках на китаеговорящих пользователей.

🟢Разбор техник промпт-инъекций, уже встречающихся на реальных сайтах и направленных на ИИ-агентов, читающих страницы.

🍏 Технический анализ ВПО FakeWallet, которое распространялось через приманки в Apple App Store под видом приложений популярных криптокошельков.

🟡Банковские атаки NFC Relay добрались до Испании — злоумышленники вооружились MaaS Devil NFC.

🔴Интересная тактика атакующих — вредоносная нагрузка зашита в wav-файле. Звучит так себе 🤪

👀 Подробный разбор двух шпионских кампаний, направленных на инфраструктуру сотовой связи и предназначенных для слежки за физическими перемещениями целевых персон. Применялась комбинация нескольких векторов атак — от SS7 до технических SMS с SIM-командами.

🗣 ИБ-агентства двух десятков стран — от Японии до Испании — выпустили совместное предупреждение об опасности компрометации бытовых роутеров и устройств IoT китайскими APT. Сама угроза не нова, но её масштаб видимо стал критически большим. Наиболее интересен раздел с рекомендациями по защите, где впервые предлагают в числе прочего перейти к закрытым спискам IP, с которых разрешены удалённые подключения к сети организации.

👻 Мощное исследование инструмента fast16.sys, который был разработан за 5 лет до Stuxnet и предназначался для точечной подмены вычислений в специфическом инженерном софте для гидродинамического моделирования, анализа столкновений и тому подобного (ПО LS-DYNA 970, PKPM, MOHID). Этот интереснейший драйвер упоминается в утечке ShadowBrokers, а точнее в списке «дружественного» ПО, которое операторы АНБ не должны трогать. Комментарий к fast16 в этом списке: «Nothing to see here – carry on».

#APT #дайджест @П2Т

🗣 Реагирование на инциденты в ИБ

Когда: 29 апреля 2026 в 11:00 (МСК)

Многие компании в момент кибератаки действуют хаотично: теряют время на согласования, допускают ошибочные действия, в итоге инцидент выходит из-под контроля и перерастает в полноценный кризис. Проблема в том, что реагирование не выстроено системно или процесс реагирования существует только на бумаге.

Что должно быть подготовлено и отработано заранее? Нужны ли киберучения? Как выбирать внешнюю команду реагирования?

О практике IR поговорят эксперты на онлайн-конференции AM-Live! Обсудим:

▶️ самые дорогие ошибки в реагировании на инциденты;
▶️где на практике разваливается процесс реагирования;
▶️что важнее при реагировании: команда, процессы или технологии;
▶️какие внешние сервисы реагирования существуют и чем они отличаются;
▶️как встроить внешний сервис в существующий процесс IR без «слепых зон»;
▶️для каких типов инцидентов сценарии реагирования обязательно нужно отработать заранее.

👤 От «Лаборатории Касперского» выступит Павел Каргапольцев, руководитель отдела реагирования на инциденты информационной безопасности.

Встречаемся в среду: 29 апреля 2026
Нужна предварительная регистрация.

Узнать о конференции и зарегистрироваться ⟶

#события @П2Т

🐶 Ловим гончих в логах Windows

Службы Active Directory остаются приоритетной целью атакующих, у которых наработаны эффективные методики по анализу и компрометации AD в инфраструктуре жертвы. А защитникам сложно обнаруживать AD-атаки на ранних этапах — мешают ложные срабатываний детектирующей логики. Событий происходит много, и большая часть из них связана с легитимной активностью.

Чтобы изменить ситуацию и разработать эффективные правила для нашей SIEM, KUMA, инженеры SOC глубоко погрузились в нюансы работы популярнейшего инструмента «красных» — коллекторов BloodHound в модификациях SharpHound и BloodHound․py. Эти утилиты уже 10 лет используются для сбора информации об объектах Active Directory, и в упражнениях по ред-тимингу, и в настоящих кибератаках.

Обнаружить работу обоих коллекторов можно, анализируя в журналах AD события 5145 или 5712. Но ещё удобнее отслеживать события LDAP search (1644). Чтобы выделять подозрительные события, нужно обращать внимание на типовые цепочки запросов, происходящие за короткий промежуток времени.

Детальные описания и конкретные примеры — в статье на Хабре.

#советы #SOC @П2Т

📌 Защита DNS, взрывной рост уязвимостей и другие полезные посты апреля

В апрельском потоке новостей могли затеряться полезные и не сиюминутные материалы нашего канала. Поэтому мы подобрали статьи, которые помогут выстроить эффективные процессы и системы в ИБ. Если вы что-то пропустили, самое время наверстать упущенное!

▶️обновлённые рекомендации NIST по защите DNS;
▶️что делать CISO, когда уязвимости всё эффективней ищут ИИ-модели и при чём тут Mythos;
▶️новые возможности Kaspersky MDR 3.0;
▶️как и когда в Android внедрят постквантовую криптографию;
▶️самые мощные атаки на цепочку поставок за минувший год (а по мотивам 2026 придётся писать целый роман);
▶️почему «изоляция клиентов» и «гостевая сеть» Wi-Fi — это защита от честных людей;
▶️рекомендации по защите консоли управления СЗИ;
▶️и снова NIST — как жить после сокращения поддержки базы NVD;
▶️новые навыки DFIR: где в Windows следить за работой MCP.

#дайджест @П2Т

👀 Интересные исследования APT и новости ИБ за неделю

🟢В атаках группировки Silver Fox на органзиации в РФ и в Индии обнаружен новый бэкдор ABCDoor. Ретроспективный анализ позволил обнаружить 7 версий ВПО, первая из которых датируется аж 2024 годом, но развитие импланта продолжается по сей день. Начинаются атаки с целевого фишинга налоговой тематики.

🟣Подробный разбор уязвимости CVE-2026-31431 (CopyFail), угрожающей большинству актуальных сборок Linux. Наиболее серьёзна угроза для контейнерных сред: Docker, LXC и Kubernetes.

🔵В менеджере пакетов npm бушует эпидемия Mini Shai-Hulud: червь поразил пакеты SAP и intercom. Вероятно те же злоумышленники скомпрометировали пакеты lightning в PyPi. TTPs похожи на группировку TeamPCP.

🟣Группа HeartlessSoul, замеченная осенью 2025 года, продолжает атаки на авиационную промышленность и в числе похищаемых данных делает особый акцент на файлы геоинформационных систем. Примечателен подход к таргетированию: группировка рекламирует сайты-фальшивки с троянизированным ПО для авиационных систем.

🟣Вымогатели тоже волнуются о постквантовой криптографии — новый шифровальщик Kyber действительно использует в своей работе гибридный алгоритм с ПКШ.

🔵Огромный 150-страничный отчет о сложном ВПО EasterBunny (pdf) и TTPs APT29/DarkHalo, его применяющей. Среди любопытных деталей — жёсткая привязка импланта к компьютеру, на который он нацелен, на других машинах просто не запустится.

🟣Новые разновидности ClickFix: злоумышленники используют цепочку команд cmdkey и regsvr32 для загрузки и запуска ВПО.

🔵Закрытая в апрельском Patch Tuesday CVE-2026-32202, приводящая к утечке хэшей аутентификации, теперь помечена как активно эксплуатируемая. Дефект возник из-за неполного устранения февральского зиродея CVE-2026-21510.

🟣Интересная история — вредоносный плагин для WordPress был изготовлен из легитимной версии еще в 2020 году, но обзавёлся вредоносной функциональностью только в 2026.

🔵Разбор массовой глобальной спам-кампании с рассылкой фальшивых SMS об оплате дорожных пошлин и штрафов. В результате жертв заманивают на фальшивые платёжные сайты и сайты, распространяющие ВПО.

🟢Критическая уязвимость CVE-2026-41940 в панелях cPanel и WHM, позволяющая получить админские права без всякой аутентификации, эксплуатировалась злоумышленниками ещё до устранения. Учитывая популярность cPanel, это весьма серьёзно — обновляться нужно в срочном порядке.

🟣Неожиданное расширение географии скам-центров (и борьбы с ними) — девять мошеннических офисов закрыли в Дубае.

#дайджест #APT @П2Т

🤖 Автономный SOC: хайп и попытки реальности

Идея полностью автономного Security Operations Center, где оповещения автоматически проходят триаж, расследование и реагирование без участия человека, стала постоянным мотивом на брифингах производителей и в академических дискуссиях. Но текущие исследования показывают, что практический диапазон таких решений значительно уже, чем обещает маркетинг.

Agentic‑платформы на базе ИИ уже компетентны на отдельных участках SOC‑конвейера. Недавно опубликованная работа по платформе LanG заявляет F1=87% для корреляции инцидентов, 96,2% принятия сгенерированных LLM правил Snort/Suricata/YARA и 87,5% точности реконструкции kill chain. Различные фреймворки, сочетающие LLM с классическим ML для комплексного разбора оповещений и генерации кроссплатформенных запросов, множатся. Все обещают скорость, масштаб и разгрузку аналитиков.

Но где-то явно, а где-то между строк светятся три структурные проблемы:

1️⃣ Галлюцинации и промпт-инъекции остаются нерешёнными. В контексте SOC подделанное поле лога — это правдоподобный вектор воздействия непосредственно на агента.

2️⃣ Трудный компромисс между автономией и контролем. В статье для NDSS Symposium прямо говорится, что одобряющий действия агента человек (human in the loop, HITL), хотя и повышает безопасность, обнуляет ключевое преимущество агентского ИИ — скорость. В заметке Gartner «Predict 2025: There Will Never Be an Autonomous SOC» тот же аргумент приводится с операционной точки зрения.

3️⃣ Регуляторика, аудит и вопросы отчётности отстают от технологий. Стохастические ответы LLM затрудняют журналирование и воспроизводимость решений, а значит и аудиты на соответствие требованиям. Текущие регуляторные фреймворки не проектировались под непредсказуемое поведение нескольких взаимодействующих агентов.

Конечно, ко всем этим проблемам пытаются найти и решение. Среди перспективных подходов:

1️⃣ Многоуровневая автономия вместо «есть/нет». Фреймворк доверенной автономности (Trusted Autonomy) предлагает пять уровней автономии ИИ, сопоставленных ролям HITL и порогам доверия для задач мониторинга, детектирования и реагирования. Низкорисковые операции (обогащение, дедупликация) выполняются автономно, а действия с высоким «радиусом поражения» требуют обязательной проверки человеком.

2️⃣ Нейросимволические проверки и ограничения действий агента. Конвейер Agent-lock очищает недоверенные поля логов, верифицирует плановые действия по политикам CMDB/IAM, поддерживает соблюдение ключевых требований (например, недопустимость отключения телеметрии) и контролирует «бюджеты автономии».

3️⃣ Архитектура, изначально построенная на базе соблюдения правил и регулирования (governance). Примером здесь служит та же работа LanG (заявленная иерархия Governance → MCP → Agentic AI → Security) с двумя обязательными проверками живого аналитика, что соответствует требованиям NIST SP 800‑61. Правда, это неизбежно означает, что LLM работает как ограниченный инструмент, а не как самостоятельный «сотрудник».

4️⃣ Проверки с учётом предыдущих состояний (stateful admission control). Например, протокол ACP контролирует поведенческие свойства в журналах исполнения задач и таким образом позволяет ловить агентов, которые делают множество по отдельности безобидных запросов, суммарно складывающихся во вредоносную активность.

Основная практичная гипотеза на ближайшие 1-2 года: «автономный SOC» стоит воспринимать как вектор движения, а не конечное состояние. Осязаемая польза уже есть (в корреляции, обогащении, черновиках правил и реконструкции атак) — при условии, что каждая такая способность обёрнута в защитные механизмы, такие как многоуровневая автономия, фиксированные «бюджеты независимости» и адекватно сбалансированные проверки человеком для любых действий, затрагивающих продакшн-инфраструктуру. Команды, которые уже сейчас вкладываются в структурированный и проверяемый подход, заточенный под соблюдение (будущей) регуляторики (policy‑движки, фильтрующие MCP‑прокси, полноценные журналы аудита), смогут поэтапно встраивать в свой конвейер SOC новые агентские функции. Те, кто этот слой пропустит, с высокой вероятностью столкнутся с проблемами, которые уже сейчас описаны в литературе.

#советы #ИИ #SOC @П2Т

❗️ Через официальный сайт DAEMON Tools распространяется ПО с бэкдором

Эксперты Kaspersky GReAT обнаружили кибератаку в начале апреля 2026 года. Вредонос содержится в известной программе для работы с образами дисков.

На данный момент зафиксировано свыше 2 тысяч заражений более чем в 100 странах. Причём 20% пострадавших устройств находится в России, а порядка 10% из всех затронутых систем в мире — корпоративные.

🔻Как это работает
Злоумышленники скомпрометировали DAEMON Tools начиная с версии 12.5.0.2421 и вплоть до текущей.

При запуске заражённых файлов (что обычно происходит во время включения компьютера или ноутбука) активируется бэкдор. Вредонос инициирует соединение с C2-сервером и выполнение shell-команд. Они, в свою очередь, развёртывают вредоносные нагрузки. Самой распространённой из них является сборщик информации, который способен «узнать» о заражённом устройстве его MAC-адрес, имя хоста, доменное имя DNS, списки запущенных процессов и установленного ПО, язык системы.

В редких случаях злоумышленники развёртывают ранее неизвестный минималистичный бэкдор, используемый для загрузки файлов и выполнения шелл-кода.

Кстати, упомянутые выше файлы имеют цифровую подпись разработчика DAEMON Tools — компании AVB Disc Soft.

▶️Как защититься частному пользователю
🟢Немедленно удалить заражённую программу, если она была загружена.
🟢Выполнить сканирование системы для устранения любых других угроз.

▶️Как защититься корпоративным пользователям
🟢ИБ-команда должна изолировать заражённые устройства с установленным DAEMON Tools.
🟢ИБ-специалистами необходимо провести дополнительную проверку устройств в организации, чтобы предотвратить дальнейшее распространение вредоноса.

▶️Как защититься корпоративным пользователям от подобных атак в будущем
🟢Провести аудит вендоров ПО на соответствие отраслевым стандартам ИБ.
🟢Внедрить строгие протоколы закупок, чтобы ПО для сотрудников соответствовало политикам и требованиям организации.
🟢Внедрять превентивные меры, такие как принцип наименьших привилегий, принцип нулевого доверия, зрелую систему управления учётными записями, для уменьшения ущерба в случае кибератаки.
🟢Применять решение для комплексной защиты всей ИТ-инфраструктуры.
🟢Разработать план реагирования на киберинциденты и убедиться, что в него включены меры для быстрого выявления брешей и минимизации связанных с ними рисков.
🟢Установить на корпоративные устройства надёжное защитное ПО. Например, решения от «Лаборатории Касперского» для малого, среднего и крупного бизнеса.

Подробный разбор кибератаки на DAEMON Tools и индикатор компрометации ПО — в нашем материале на Securelist. А более простым языком — рассказываем в статье на Kaspersky Daily.

💙 Kaspersky в ВК
💬 Kaspersky в Max
💬 Порвали два трояна в Max